ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΕΡΙΕΧΟΜΕΝΑ

Transcript

1 ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΙΣΑΓΩΓΗ ΡΥΘΜΙΣΤΙΚΟ ΠΛΑΙΣΙΟ ΣΚΟΠΟΣ 4 4. ΟΡΙΣΜΟΙ ΕΥΘΥΝΗ ΑΡΧΕΣ ΠΟΥ ΔΙΕΠΟΥΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ, ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ 9 9. ΧΡΟΝΟΣ ΔΙΑΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Η ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ ΑΡΧΕΙΑ ΤΩΝ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΗΝ ΕΠΟΠΤΙΚΗ ΑΡΧΗ ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΑΝΑΡΤΗΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΗΝ ΙΣΤΟΣΕΛΙΔΑ ΤΗΣ ΚΕΠΕΥ ΣΤΟΙΧΕΙΑ ΕΠΙΚΟΙΝΩΝΙΑΣ. 13 Σελίδα 1

2 Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 1. ΕΙΣΑΓΩΓΗ Η Atlantic Securities Ltd (εφεξής η «ΚΕΠΕΥ») δεσμεύεται, με βάση τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα, να λαμβάνει τα απαραίτητα μέτρα για την προστασία των Δεδομένων Προσωπικού Χαρακτήρα και τον σεβασμό της ιδιωτικής ζωής των πελατών της. Οι στόχοι του νέου Ευρωπαϊκού Κανονισμού (ΕΕ) 2016/679 είναι: Η Προαγωγή της Διαφάνειας, Η ενίσχυση των δικαιωμάτων των Πελατών της ΚΕΠΕΥ, Η ενισχυμένη ασφάλεια των προσωπικών δεδομένων, Η εισαγωγή της αρχής της λογοδοσίας στην αρμόδια Εποπτική Αρχή (Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) με την έννοια της απόδειξης της συμμόρφωσης με τις πρόνοιες του Ευρωπαϊκού Κανονισμού, Οι ενισχυμένες αποτρεπτικές κυρώσεις. Το παρόν έγγραφο αποσκοπεί στην ενημέρωση των πελατών της ΚΕΠΕΥ αναφορικά με τα δικαιώματά τους και την Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της ΚΕΠΕΥ. Ο κάθε Πελάτης ξεχωριστά είναι πολύ σημαντικός για την ΚΕΠΕΥ. Η ΚΕΠΕΥ δεσμεύεται να προστατεύει και να σέβεται τα προσωπικά δεδομένα των Πελατών της. Αυτή η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα περιγράφει ποιους τύπους προσωπικών δεδομένων η ΚΕΠΕΥ συλλέγει για τους Πελάτες της όταν επιλέγουν να χρησιμοποιήσουν τις υπηρεσίες της, πώς η ΚΕΠΕΥ θα χρησιμοποιήσει τα προσωπικά δεδομένα των Πελατών της, πότε και με ποιούς η ΚΕΠΕΥ μοιράζεται τα προσωπικά δεδομένα των Πελατών της και πώς διαφυλάττει αυτά με ασφάλεια. Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διευκρινίζει επίσης τα δικαιώματά των Πελατών της ΚΕΠΕΥ όσον αφορά την επεξεργασία των προσωπικών πληροφοριών και τον τρόπο άσκησής τους. Η ΚΕΠΕΥ μπορεί να κάνει αλλαγές στην παρούσα Πολιτική από καιρού εις καιρόν και είναι σημαντικό οι Πελάτες να ελέγχουν συχνά την παρούσα Πολιτική για τυχόν ενημερώσεις. Οποιαδήποτε προσωπική ενημέρωση θα διέπεται από την πιο πρόσφατη Σελίδα 2

3 Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Αν η ΚΕΠΕΥ προχωρήσει σε αλλαγές που θεωρεί σημαντικές, άμεσα θα τις γνωστοποιεί στους Πελάτες της. Μόλις ο Πελάτης δημιουργήσει λογαριασμό με τη ΚΕΠΕΥ, συμφωνεί άμεσα ότι αυτή η Πολιτική, συμπεριλαμβανομένων τυχόν τροποποιήσεων, θα διέπει τον τρόπο με τον οποίο η ΚΕΠΕΥ συλλέγει, αποθηκεύει, χρησιμοποιεί, μοιράζεται και σε οποιαδήποτε άλλη μορφή επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη καθώς επίσης και τα δικαιώματά του κατά τη διάρκεια της επιχειρηματικής σχέσης του Πελάτη με την ΚΕΠΕΥ αλλά και μετά τον τερματισμό της. 2. ΡΥΘΜΙΣΤΙΚΟ ΠΛΑΙΣΙΟ Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ετοιμάστηκε σύμφωνα με τις πρόνοιες των ακόλουθων: Κανονισμός (ΕΕ) 2016/679 του Ευρωπαικού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 85/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). Προσχέδιο Νομοσχεδίου με τίτλο: Ο περί της Προστασίας των Φυσικών Προσώπων έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και για την ελεύθερη κυκλοφορία των Δεδομένων αυτών Νόμος του Ν138(I)/2001 Ο περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμος του Ν37(Ι)/2003 Νόμος που τροποποιεί τον περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμο του Ν105(Ι)/2012 Νόμος που τροποποιεί τον περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμο του Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικοιμάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου. Εγκύκλιος (Αρ. 1575) του Τμήματος Δημόσιας Διοίκησης και Προσωπικού, Υπουργείο Οικονομικών με θέμα: Διαχείριση Αρχείων, Εγγράφων που περιέχουν Προσωπικοά Δεδομένα, ημερομηνίας 24 Μαΐου Σελίδα 3

4 Οδηγίες Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 3. ΣΚΟΠΟΣ 3.1. Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα θεσπίζει το πλαίσιο και καθορίζει τις αρχές, σύμφωνα με τις οποίες η ΚΕΠΕΥ οφείλει να λειτουργεί σχετικά με θέματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των Δεδομένων Προσωπικού Χαρακτήρα Η ΚΕΠΕΥ συλλέγει δεδομένα Πελατών για σκοπούς παροχής Επενδυτικών Υπηρεσιών. Τα δεδομένα αυτά διατηρούνται από την ΚΕΠΕΥ καθ όλη τη διάρκεια ισχύος της σύμβασης του Πελάτη, για σκοπούς ενημέρωσης του πελάτη αναφορικά με την κατάσταση λογαριασμού και χαρτοφυλακίου του καθώς επίσης και για σκοπούς διαχείρισης τυχόν αιτημάτων, ερωτημάτων και παραπόνων που προκύπτουν κατά τη διάρκεια της συνεργασίας του πελάτη με την ΚΕΠΕΥ. 4. ΟΡΙΣΜΟΙ 4.1. Ποια είναι τα Δεδομένα Προσωπικού Χαρακτήρα «Δεδομένα Προσωπικού Χαρακτήρα» είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Ειδικότερα, όσον αφορά τους Πελάτες της ΚΕΠΕΥ, Δεδομένα Προσωπικού Χαρακτήρα είναι: Τα στοιχεία που δίνει ο Πελάτης κατά την υποβολή της αίτησής του για Σύμβαση Παροχής Επενδυτικών Υπηρεσίων, όπως Ονοματεπώνυμο, Αριθμός Δελτίου Ταυτότητας ή Αριθμός Διαβατηρίου, Φύλο, Εθνικότητα/Υπηκοότητα, Τόπος Γέννησης, Ημερομηνία Γέννησης, Διεύθυνση Διαμονής, Επίπεδο Μόρφωσης, Επάγγελμα, Εργοδότης, Οικογενειακή Κατάσταση, Χώρα Φορολογικής Κατοικίας, Αριθμός Φορολογικής Ταυτότητας, Αριθμός Τραπεζικού Λογαριασμού. Τα στοιχεία κλήσεων που δίνει ο Πελάτης, Αριθμός Κινητού ή Σταθερού Τηλεφώνου, Αριθμός Τηλεομοιοτύπου (FAX), Διεύθυνση ηλεκτρονικού Ταχυδρομείου ( ), τα οποία τηρούνται για σκοπούς ενημέρωσης του Πελάτη. Σελίδα 4

5 Τα στοιχεία της οικονομικής του κατάστασης όπως εισοδήματα, κινητή και ακίνητη περιουσία, οικονομικές υποχρεώσεις. Το επίπεδο γνώσης και εμπειρίας του Πελάτη σε θέματα Επενδύσεων Χρηματοοικονομικών Μέσων, και το προφίλ κινδύνου που δύναται να αναλάβει ο Πελάτης στο Χαρτοφυλάκιό του. Οι Κωδικοί Πρόσβασης του Πελάτη, οι οποίοι παραχωρούνται από την ΚΕΠΕΥ κατά την παροχή διαφόρων υπηρεσιών. Παρόλο που τα Δεδομένα Νομικών Προσώπων δεν εμπίπτουν, με βάση τον Ευρωπαϊκό Κανονισμό (ΕΕ) 2016/679, στα Δεδομένα Προσωπικού Χαρακτήρα, εντούτοις η ΚΕΠΕΥ προστατεύει τα δεδομένα των Νομικών Προσώπων που είναι Πελάτες της, κατά παρόμοιο τρόπο Τι εννοούμε με τον όρο «Επεξεργασία» «Επεξεργασία» είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Η ΚΕΠΕΥ συλλέγει και επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών της μόνο για σκοπούς εξυπηρέτησής τους στα πλαίσια Παροχής Επενδυτικών Υπηρεσιών. Τα Δεδομένα Προσωπικού Χαρακτήρα, είναι εμπιστευτικά, φυλάσσονται σε ασφαλισμένα αρχεία τόσο σε πρωτότυπη μορφή όσο και σε ηλεκτρονική μορφή. Η Επεξεργασία πραγματοποιείται μόνο από ειδικά εξουσιοδοτημένους υπαλλήλους της ΚΕΠΕΥ Ποιοι είναι ο «Υπεύθυνος Επεξεργασίας» και ο «Εκτελών την επεξεργασία» «Υπεύθυνος Επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο Κράτους-Μέλους, ο Υπεύθυνος Επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο του Κράτους Μέλους. Σελίδα 5

6 «Εκτελών την Επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου της επεξεργασίας Τι εννοούμε με τον όρο «Συγκατάθεση» του υποκειμένου των δεδομένων όπου «υποκείμενο των δεδομένων» νοείται ο Πελάτης «Συγκατάθεση» του υποκειμένου των δεδομένων είναι κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η εφαρμογή του Κανονισμού (ΕΕ) 2016/679 απαιτεί πλέον για την συλλογή και επεξεργασία προσωπικών δεδομένων την συγκατάθεση του Πελάτη. Η ΚΕΠΕΥ μπορεί να επεξεργαστεί τα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών της για τους έναν ή περισσότερους από τους πιο κάτω λόγους: Να εκπληρώσει τις συμβατικές της υποχρεώσεις προς τους Πελάτες Να συμμορφώνεται με τις Νομικές και Κανονιστικές Απαιτήσεις Να διεκδικήσει το νόμιμο συμφέρον της Όπου η χρήση των Δεδομένων Προσωπικού Χαρακτήρα των Πελατών δεν εμπίπτει σε ένα από τους πιο πάνω λόγους, η ΚΕΠΕΥ εφαρμόζωντας τον Κανονισμό θα απαιτεί τη συγκατάθεση των Πελατών της. Η συναίνεση αυτή παρέχεται ελεύθερα από τους Πελάτες και έχουν το δικαίωμα να αποσύρουν τη συγκατάθεσή τους ανά πάσα στιγμή επικοινωνώντας με την ΚΕΠΕΥ χρησιμοποιώντας τα στοιχεία επικοινωνίας που αναφέρονται στην παρούσα Πολιτική. Σε περίπτωση που η ΚΕΠΕΥ προβεί σε επεξεργασία δεδομένων ή οποία απαιτεί την συγκατάθεση των Πελατών της, η συγκατάθεση θα λαμβάνεται γραπτώς. Σε περίπτωση που ΚΕΠΕΥ προβεί σε επεξεργασία δεδομένων η οποία απαιτεί Άδεια της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αυτή θα εξασφαλίζεται πριν την σκοπούμενη επεξεργασία. 5. ΕΥΘΥΝΗ Το Διοικητικό Συμβούλιο της ΚΕΠΕΥ (ως ο «Υπεύθυνος Επεξεργασίας») λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, (σύμφωνα με το Άρθρο 24 του Ευρωπαϊκού Κανονισμού), εφαρμόζει κατάλληλα Σελίδα 6

7 τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με το ισχύον Νομικό Πλαίσιο. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. Η ΚΕΠΕΥ ως ο «Υπεύθυνος Επεξεργασίας» έχει ορίσει ως «Υπεύθυνο Προστασίας Δεδομένων» τον Λειτουργό Συμμόρφωσης της ΚΕΠΕΥ. 6. ΑΡΧΕΣ ΠΟΥ ΔΙΕΠΟΥΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Τα Δεδομένα Προσωπικού Χαρακτήρα: Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με τον Πελάτη (νομιμότητα, αντικειμενικότητα, διαφάνεια). Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»). Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται. Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»). Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των Πελατών μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με την χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). Η ΚΕΠΕΥ ως «ο υπεύθυνος επεξεργασίας» φέρει την ευθύνη και είναι σε θέση να αποδείξει την συμμόρφωση με τα πιο πάνω («λογοδοσία») (Άρθρο 5 του Γ.Κ.Π.Δ.) Σελίδα 7

8 7. ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ, ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ Η ΚΕΠΕΥ τηρεί όλες τις απαραίτητες προϋποθέσεις έτσι ώστε η δράση της να κυμαίνεται εντός τον καθορισμένων πλαισίων Νομιμότητας της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα των Πελατών της (Άρθρο 6 του Γ.Κ.Π.Δ.). Με βάση το Άρθρο 6 Νομιμότητα της Επεξεργασίας, η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μια από τις ακόλουθες προϋποθέσεις: Ο Πελάτης έχει συναινέσει στην επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του για ένα ή περισσότερους συγκεκριμένους σκοπούς, Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας ο Πελάτης είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ αίτηση του Πελάτη πριν από τη σύναψη σύμβασης, Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρλεωση της ΚΕΠΕΥ «ως Υπεύθυνου Επεξεργασίας», Η επεξεργασία είναι απαραίτητηγια τη διαφύλαξη ζωτικού συμφέροντος του Πελάτη της ΚΕΠΕΥ ή άλλου φυσικού προσώπου, Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδειώκει η ΚΕΠΕΥ ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη διακαιώματα και οι ελευθερίες του Πελάτη που επιβάλλουν την προστασία των Δεδομένων Προσωπικού Χαρακτήρα, ιδίως εάν ο Πελάτης είναι παιδί. Ιδιαίτερη προσοχή από την ΚΕΠΕΥ δίνεται (εκεί όπου χρειάζεται) στην Επεξεργασία των Ειδικών Κατηγοριών Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με το Άρθρο 9 του Ευρωπαϊκού Κανονισμού. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, η ΚΕΠΕΥ εφαρμόζει αποτελεσματικά κατάλληλα τεχνικά και οργανωτικά μέτρα, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του Γ.Κ.Π.Δ. και να προστατεύονται τα δικαιώματα των Πελατών (Άρθρα 25 και 32 του Γ.Κ.Π.Δ.). Σελίδα 8

9 8. ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΠΕΛΑΤΩΝ 8.1. Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του Πελάτη. Η ΚΕΠΕΥ λαμβάνει τα κατάλληλα μέτρα για να παρέχει στους Πελάτες κάθε πληροφορία και κάθε ανακοίνωση σχετικά με την επεξεργασία των προσωπικών του δεδομένων σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Οι Πελάτες μπορούν να ενημερωθούν σε μεγαλύτερη λεπτομέρεια, για τα προσωπικά δεδομένα που επεξεργάζεται η ΚΕΠΕΥ για αυτούς, στην ιστοσελίδα της ΚΕΠΕΥ. (Άρθρο 12 του Γ.Κ.Π.Δ.) 8.2. Δικαίωμα Διόρθωσης και Δικαίωμα Διαγραφής («Δικαίωμα στη Λήθη»). Οι Πελάτες έχουν το δικαίωμα να επικαιροποιούν ή να ζητούν από την ΚΕΠΕΥ χωρίς καθυστέρηση την διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που τους αφορούν. Έχουν επίσης το δικαίωμα να ζητήσουν από την ΚΕΠΕΥ την διαγραφή οποιωνδήποτε δεδομένων προσωπικού χαρακτήρα που τους αφορούν, τα οποία δεν είναι πλέον χρήσιμα για τους σκοπούς της ΚΕΠΕΥ, χωρίς καθυστέρηση υπό προϋποθέσεις. (Άρθρα 16 και 17 του Γ.Κ.Π.Δ.) 8.3. Δικαίωμα Περιορισμού της Επεξεργασίας. Οι Πελάτες μπορούν να εξασφαλίσουν από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας (Άρθρο 18 του Γ.Κ.Π.Δ.), όταν ισχύει ένα από τα ακόλουθα: α. Η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από τον Πελάτη, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα, β. Η επεξεργασία είναι παράνομη και ο πελάτης αντιτάσσετεαι στην διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ αυτής, τον περιορισμό της χρήσης τους, γ. Ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από τον Πελάτη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, δ. Ο Πελάτης έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του Πελάτη. Σελίδα 9

10 8.4. Δικαίωμα στη φορητότητα των δεδομένων. Οι Πελάτες έχουν το δικαίωμα να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο. (Άρθρο 20 του Γ.Κ.Π.Δ.) 8.5. Δικαίωμα εναντίωσης. Οι Πελάτες δικαιούνται να αντιτάσσονται, ανά πάσα στιγμή, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που τους αφορούν. (Άρθρο 21 του Γ.Κ.Π.Δ.) 8.6. Δικαίωμα υποβολής καταγγελίας σε Εποπτική Αρχή. Οι Πελάτες έχουν το δικαίωμα να υποβάλουν καταγγελία σε Εποπτική Αρχή, ιδίως στο Κράτος Μέλος στο οποίο έχουν τη συνήθη διαμονή τους, ή τον τόπο εργασίας τους, ή τον τόπο της εικαζόμενης παράβασης, εάν θεωρούν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορά παραβαίνει τον Κανονισμό (ΕΕ) 2016/679. (Άρθρο 77 του Γ.Κ.Π.Δ.) 8.7. Δικαίωμα Πραγματικής Δικαστικής Προσφυγής κατά Αρχής Ελέγχου. Οι Πελάτες έχουν το δικαίωμα πραγματικής δικαστικής προσφυγής, εφόσον η Εποπτική Αρχή που ανέλαβε να εξετάσει την καταγγελία, δεν το έχει πράξει και δεν έχει ενημερώσει τους Πελάτες εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που έχουν υποβάλει. (Άρθρο 78 του Γ.Κ.Π.Δ.) 8.8. Η ΚΕΠΕΥ θα ενημερώνει τους Πελάτες της σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν πρόκειται να ανακοινωθούν νόμιμα σε τρίτους Οι Πελάτες οφείλουν να διαφυλάττουν τα εμπιστευτικά στοιχεία που τους παραχωρούνται. Οι κωδικοί πρόσβασης και οι μυστικοί κωδικοί είναι αυστηρά προσωπικοί και η ΚΕΠΕΥ δεν ευθύνεται σε περίπτωση απώλειας ή κλοπής τους. Σε περίπτωση απώλειας ή κλοπής των πιο πάνω κωδικών, οι Πελάτες οφείλουν να ενημερώνουν το ταχύτερο δυνατό την ΚΕΠΕΥ Όλα τα δικαιώματα των Πελατών διέπονται από τις Πρόνοιες της Κυπριακής Νομοθεσίας για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα και απαιτείται η προηγούμενη ταυτοποίηση του Πελάτη. Σελίδα 10

11 9. ΧΡΟΝΟΣ ΔΙΑΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ 9.1. Η ΚΕΠΕΥ διατηρεί τα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών της καθ όλη τη διάρκεια της σύμβασης του Πελάτη και για όση διάρκεια απαιτείται σύμφωνα με τους ισχύοντες Νόμους και Κανονισμούς που διέπουν τις εργασίες της Κάποια Δεδομένα Προσωπικού Χαρακτήρα μπορεί να διατηρηθούν και μετά τον τερματισμό της σύμβασης του Πελάτη, σύμφωνα με την εκάστοτε ισχύουσα Νομοθεσία της Κυπριακής Δημοκρατίας και αυτά είναι: α. Δεδομένα που διατηρούνται για σκοπούς διερεύνησης ποινικών αδικημάτων, κατόπιν διατάγματος Δικαστηρίου. β. Δεδομένα που τυγχάνουν επεξεργασίας για σκοπούς ικανοποίησης έννομου συμφέροντος (π.χ. αγωγή εναντίον πελάτη), τα οποία διατηρούνται μέχρι την ολοκλήρωση του σκοπού 9.3. Σε περίπτωση που ο πελάτης επικοινωνήσει τηλεφωνικά ο ίδιος με την ΚΕΠΕΥ ή ή ΚΕΠΕΥ επικοινωνήσει τηλεφωνικά με τον Πελάτη, οι συνομιλίες με τον πελάτη καταγράφονται, μόνο για σκοπούς παροχής των Επενδυτικών Υπηρεσιών για τους οποίους η ΚΕΠΕΥ έχει λάβει Άδεια από την Εποπτική Αρχή. Οι ηχογραφημένες αυτές συνομιλίες διατηρούνται για περίοδο πέντε (5) ετών ή σε περίπτωση Νομικής Διαφοράς, μέχρι τη λήξη της Νομικής Διαφοράς. 10. ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ Οι Πελάτες ενημερώνονται ότι κάποιοι συνεργάτες της ΚΕΠΕΥ είναι εγκατεστημένοι εκτός ΕΕ ή και εκτός ΕΟΧ. Οι συνεργάτες αυτοί είναι συμβατικά δεσμευμένοι προς την ΚΕΠΕΥ για την παροχή των απαραίτητων διασφαλίσεων ασφαλείας, για τήρηση της εμπιστευτικότητας των δεδομένων της ΚΕΠΕΥ και των Δεδομένων Προσωπικού Χαρακτήρα των Πελατών της και υπόκεινται στις υποχρεώσεις του Κανονισμού (ΕΕ) 2016/679 (Άρθρα 44 και 45 του Γ.Κ.Π.Δ.) 11. ΑΡΧΕΙΑ ΤΩΝ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ Η ΚΕΠΕΥ ως ο «Υπεύθυνος Επεξεργασίας» τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνη. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες: Το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, του εκπροσώπου του και του υπεύθυνου προστασίας δεδομένων, Τους σκοπούς της επεξεργασίας, Περιγραφή των κατηγοριών των Πελατών και των κατηγοριών Δεδομένων Προσωπικού Χαρακτήρα, Σελίδα 11

12 Τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν τα Δεδομένα Προσωπικού Χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς, Τις διαβιβάσεις Δεδομένων Προσωπικού Χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό Τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων Γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας. Η ΚΕΠΕΥ ως ο «Υπεύθυνος Επεξεργασίας» συνεργάζεται, κατόπιν αιτήματος, με την Εποπτική Αρχή για την άσκηση των καθηκόντων της. (Άρθρο 30 του Γ.Κ.Π.Δ.) 12. ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΗΝ ΕΠΟΠΤΙΚΗ ΑΡΧΗ Σε περίπτωση παραβίασης Δεδομένων Προσωπικού Χαρακτήρα, η ΚΕΠΕΥ γνωστοποιεί άμεσα, και εάν είναι δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των Δεδομένων Προσωπικού Χαρακτήρα στην Εποπτική Αρχή που είναι αρμόδια, εκτός εάν η παράβαση Δεδομένων Προσωπικού Χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. (Άρθρα 33 και 34 του Γ.Κ.Δ.Π) Η επικαιροποίηση των στοιχείων επαφής των Πελατών της ΚΕΠΕΥ κατά τακτά χρονικά διαστήματα συνδράμει θετικά τόσο στη διατήρηση ακριβών και έγκυρων πληροφοριών όσο και στην επικοινωνίαμαζί τους σε περίπτωση που λάβει χώρα περιστατικό ασφάλειας το οποίο συνεπάγεται παραβίαση Προσωπικών Δεδομένων. 13. ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ Εφόσον διαπιστωθεί η διενέργεια επεξεργασιών, από τις οποίες ενδέχεται να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η ΚΕΠΕΥ ως ο «Υπεύθυνος Επεξεργασίας» διενεργεί εκτίμηση αντικτύπου των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας σύμφωνα με τα οριζόμενα στο Άρθρο 35 του Γενικού Κανονισμού για την Προστασία Δεδομένων. Η εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων είναι μια διαδικασία που έχει σχεδιαστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείρηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπωνπου συνεπάγεται η επεξεργασίατων Δεδομένων Προσωπικού Χαρακτήρα, με την αξιολογησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους. Η εκτίμηση αντικτύπου αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας, καθώς παρέχει συνδρομή στους υπευθύνους επεξεργασίας όχι μόνο προκειμένου να συμορφώνονται με τις προδιαγραφες του Ευρωπαϊκού Κανονισμού, αλλά και για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα για τη διασφάλιση της συμμόρφωσης προς τον Κανονισμό. Είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης. Σελίδα 12

13 Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση: Συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο, Μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων ή Δεδομένων Προσωπικού Χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα, Συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα. 14. ΑΝΑΡΤΗΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΗΝ ΙΣΤΟΣΕΛΙΔΑ ΤΗΣ ΚΕΠΕΥ Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα των Πελατών της ΚΕΠΕΥ βρίσκεται αναρτημένη στην ιστοσελίδα της ΚΕΠΕΥ. 15. ΣΤΟΙΧΕΙΑ ΕΠΙΚΟΙΝΩΝΙΑΣ Οι Πελάτες μπορούν να επικοινωνούν με την ΚΕΠΕΥ για οποιεσδήποτε πληροφορίες αφορούν την Πολιτική Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα, στην Διεύθυνση: Atlantic Securities Ltd Προδρόμου 37, 2 ος όροφος, 1090, Λευκωσία Τ.Θ Λευκωσία Τηλ: Fax: info@atlanticfs.com Web: Σελίδα 13